In de nieuwste aflevering van The Sentyron gaat presentatrice Willemijn Rodenburg in gesprek met Nina van Lanschot, schrijfster, analiste en strategisch denker die werkzaam is op het snijvlak van defensietechnologie, geopolitiek en digitale veiligheid. Met haar ervaring bij Thales, EclecticIQ, Signpost Six en nu TNO biedt Nina een scherp inzicht in de geopolitieke strijd om kennis en technologie, de kwetsbaarheid van digitale ecosystemen en de toenemende urgentie van digitale soevereiniteit. Nina deelt haar visie op beveiligingskennis, hybride dreigingen en de strategische positie van Europa: “Kennis is onderdeel geworden van het slagveld zelf.”
Een ecosysteem met zijn eigen regels
Volgens Nina is een van de grootste misvattingen over de defensiesector dat deze net als elke andere sector werkt. Dat is niet zo. „Het is echt een heel specifieke sector. Je werkt met kennis over organisaties die je niet zomaar kunt delen. Ook over producten zijn er veel zaken die je niet kunt delen. Werken met die veiligheidsnormen en alles wat daarbij komt kijken, dat is niet iets waar je zomaar even in stapt.”
De sector is het afgelopen decennium ook ingrijpend veranderd. „Tien jaar geleden was het heel anders om in de defensie-industrie te werken. Er was veel minder maatschappelijke urgentie rond defensie. Het was minder populair, minder zichtbaar, en in sommige gevallen durfden mensen nauwelijks te zeggen dat ze in de sector werkten.“ Dat is nu veranderd. “Nu word ik wekelijks benaderd door mensen die zeggen: kun je me aan iemand voorstellen? Ik vind het eigenlijk heel interessant om bij TNO te werken, of in defensie, of met bedrijven in deze sector.” Toch is ze duidelijk dat het tijd en moeite kost om de sector te betreden. “Voor bedrijven die nu de defensiesector betreden, is de leercurve erg steil.”
Waarom kennis strategisch is geworden
Een centraal thema in het gesprek is kennisbeveiliging. Voor Nina is kennis niet langer alleen een economisch goed. Het is ook een strategisch goed. „Als je ergens kennis kunt weghalen, is dat een heel goedkope manier om zelf te innoveren. Maar kennis is niet alleen waardevol omdat ze gekopieerd kan worden. Ze is ook waardevol omdat ze richting, capaciteiten en kwetsbaarheden blootlegt. Het is ook heel tactisch om te weten waar anderen mee bezig zijn. En natuurlijk willen wij dat ook weten. We kijken naar wie wat publiceert, wat we denken dat andere spelers aan het ontwikkelen zijn, waar ze zich mogelijk op richten.” Nina gelooft dat een van de grootste blinde vlekken in zowel de academische wereld als het bedrijfsleven de aanname is dat de meeste organisaties simpelweg niet interessant genoeg zijn om het doelwit te worden.
“Ik denk dat veel organisaties zich afvragen: waarom zou iemand in ons geïnteresseerd zijn? Hetzelfde geldt voor individuen. Mensen beseffen misschien wel dat hun bedrijf belangrijk is, maar ze zien niet altijd in wat er zo waardevol is aan hun eigen specifieke kennis.”
Dat maakt het moeilijker om risico’s in te schatten. „Je kennis is misschien maar één stukje van de puzzel, maar zolang je niet weet wat de andere partij al in handen heeft, kun je de waarde van het stukje dat jij hebt ook niet echt inschatten.“
Veiligheid is ook een culturele kwestie
Een andere misvatting, zegt Nina, is dat vijandige actoren er nog steeds uitzien zoals de populaire cultuur ons heeft geleerd ze voor te stellen. “Er bestaat nog steeds het idee dat als iemand aardig en sociaal is, hij of zij zeker geen spion kan zijn. Alsof een spion iemand is met een hoed en een krant met oogopeningen erin geknipt. Of de hacker in een hoodie. Maar zo werkt het natuurlijk niet.” Dat is precies waarom bewustwording alleen niet genoeg is. Een beveiligingsteam begrijpt de dreiging misschien wel, maar dat betekent niet dat de organisatie als geheel ernaar handelt.
“Beveiligingsafdelingen weten vaak heel goed wat er speelt. Maar het is één ding om dat te weten en over het juiste beleid te beschikken. Het is iets heel anders of dat beleid ook daadwerkelijk wordt uitgevoerd en nageleefd.” Daarom mag beveiliging niet beperkt blijven tot één afdeling. “Het is heel belangrijk dat dit niet alleen van de beveiligingsafdeling komt, maar ook daadwerkelijk wordt gedragen door het management en door andere delen van de organisatie.”
Wat digitale soevereiniteit werkelijk inhoudt
Als het gesprek op digitale soevereiniteit komt, maakt Nina zorgvuldig onderscheid tussen een nuttige strategie en loze retoriek. „De term kan veel dingen betekenen en wordt op allerlei manieren gebruikt. Je moet dus al in de ontwerpfase goed nadenken: wat bedoelen we hier eigenlijk mee?“ Voor haar gaat digitale soevereiniteit niet over het streven om alles zelf te maken. “Als je strategische autonomie definieert als het zelf maken van elke chip en elk schroefje, dan is dat waarschijnlijk gewoon niet realistisch.” De echte vraag is waar de afhankelijkheden liggen, en of je zelf voldoende invloed hebt.
“Waar leg je je afhankelijkheden? En bovenal: wat breng je zelf in de weegschaal? Hoe creëer je je eigen onderhandelingspositie, zodat je altijd een troef in handen hebt die anderen nodig hebben?”
Dat is de strategische kern van de zaak. Niet volledige onafhankelijkheid, maar weloverwogen zeggenschap.
Een sterkere en onafhankelijkere digitale positie kan ook een prijs hebben. Nina is daar heel duidelijk over. “We hebben ons lange tijd gericht op de prijs. Het moest goedkoop zijn, en het moest gemakkelijk zijn. Dat zal misschien minder het geval zijn. Het kan betekenen dat dingen iets minder comfortabel worden. Misschien neemt de gebruiksvriendelijkheid iets af, misschien zijn de prestaties niet altijd precies wat mensen gewend zijn. Als je goede keuzes maakt, kun je die keuzes ook uitleggen. Maar er moet een strategie achter zitten. Het mag geen paniek zijn.”
Op basis van haar ervaring met interne risico’s en strategische bedreigingen waarschuwt Nina er ook voor om spionage of sabotage te reduceren tot een enkel incident of een enkele kwetsbaarheid. In de praktijk ontstaat een risico vaak wanneer meerdere ontwikkelingen elkaar overlappen. Ze wijst op sectoren zoals de energiesector, waar organisaties tegelijkertijd te maken hebben met duurzaamheidsdoelstellingen, verjonging van het personeelsbestand en structurele veranderingen. “Deze organisaties hebben te maken met meerdere ontwikkelingen. Ze moeten duurzamer worden. Tegelijkertijd gaat een groot deel van het personeel, dat er misschien al twintig of dertig jaar werkt, met pensioen. Er komt een nieuwe generatie bij, die misschien twee, vier of vijf jaar blijft en dan weer verder gaat.”
Dat heeft niet alleen gevolgen voor de bedrijfsvoering. Het verandert de bedrijfscultuur. „De oude situatie waarin iedereen precies wist hoe je je koffie drinkt en hoe je kleinkinderen heten, is aan het veranderen. En dat maakt het ook makkelijker voor iemand anders om zich aan te passen.“ Met andere woorden: beveiliging moet zowel als een organisatorische als een technische uitdaging worden gezien. „Het gaat nooit om slechts één verandering. Het is een combinatie van factoren.“
Europa moet vanuit een positie van kracht handelen, niet vanuit aarzeling
Vooruitkijkend is Nina van mening dat een van de grootste strategische vraagstukken voor Europa is hoe lang het hybride dreigingen nog blijft beschouwen als iets dat onder de drempel van een echt conflict ligt. „We horen al een tijdje dat we ons in de grijze zone bevinden. De vraag is: wanneer zeg je dat dit niet langer echt een grijze zone is? Die onzekerheid heeft gevolgen voor aanbestedingen, de paraatheid van de industrie, cyberrespons en de politieke besluitvorming. Binnen defensie en de defensie-industrie wachten mensen vaak nog op het moment waarop ze kunnen zeggen: nu is het oorlog, dus nu kan er iets veranderen. Dan kunnen we meer produceren. Dan kan de inkoop sneller gaan. Maar hoe lang wacht je daarop?” Dezelfde vraag geldt voor cyber- en informatiebeveiliging. Op de vraag welk advies ze Nederlandse en Europese beleidsmakers zou geven, is Nina’s antwoord duidelijk.
“Begin bij je eigen kracht.”
Ze is van mening dat het huidige debat te veel wordt gekenmerkt door angst en onzekerheid. „Op dit moment horen we veel bezorgde geluiden: we worden bedreigd, we zijn niet sterk genoeg. Maar Europa is ongelooflijk sterk. We hebben veel te bieden. Denk daarbij aan sterke instellingen, sterke bedrijven en aanzienlijke technologische capaciteiten. We hebben veel bedrijven waar we trots op kunnen zijn. Wat nu nodig is, is vertrouwen, ondersteund door een strategie. Een beetje meer zelfvertrouwen zou het ook motiverender maken om hieraan te werken. Ik denk ook dat samenwerking bijzonder belangrijk is. Dat kan betekenen dat we kennis delen, maar ook dat we delen hoe we moeten handelen, zodat mensen echt een perspectief krijgen om actie te ondernemen. En ervoor zorgen dat de lijnen kort zijn.”
Tegelijkertijd wijst ze erop dat de defensiesector en het bedrijfsleven onder heel andere prikkels opereren. „De defensiesector is er om Nederland te beschermen, maar bedrijven moeten ook als onderneming blijven bestaan. Ze moeten winst maken. Er worden andere eisen aan hen gesteld.” Daarom is wederzijds begrip zo belangrijk.
“Je moet elkaars wereld echt begrijpen.”
En idealiter zou dat inzicht praktisch moeten zijn, niet abstract. „Het klinkt heel eenvoudig, maar als mensen af en toe van organisatie wisselen en zo echt zien hoe een andere organisatie werkt, helpt dat enorm.“ Uiteindelijk gaat veerkracht niet alleen over systemen, technologie of beleid. Het gaat ook om relaties, vertrouwen en een gedeeld begrip dat al is opgebouwd voordat een crisis toeslaat. “In vredestijd bouw je de verbindingen op die je nodig hebt in minder prettige tijden. En hoe vredig is deze tijd eigenlijk, als je er goed over nadenkt?”
Luister naar Nina’s podcast (in het Nederlands) via Spotify of bekijk de podcast op YouTube.